¿Qué es DORA y a quién aplica?
Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Podría, además, no estar actualizado.
Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.
Esta entrada es propiedad intelectual de JD Services y todos sus derechos quedan reservados.
Información general
¿Qué es DORA?
DORA es el nuevo reglamento europeo sobre la resiliencia operativa digital del sector financiero.
Es complementario a NIS2, e impone numerosas y onerosas obligaciones adicionales específicas para este sector.
Al ser un reglamento y no una directiva, tiene aplicación directa, sin necesidad de ser transpuesto a la legislación nacional.
¿A quién aplica DORA?
El ámbito de aplicación es complejo, especialmente en lo relativo a territorialidad y subcontrataciones. Generalmente, se aplica a:
- Entidades financieras (ubicadas en el Espacio Económico Europeo, o afiliadas a entidades ubicadas en el EEE)
- Proveedores terceros de servicios de TIC (que tengan como clientes entidades financieras sujetas a DORA)
Ninguna empresa queda excluida de DORA por su tamaño. Existen algunas obligaciones reducidas para algunas microentidades financieras.
¿Cuándo se aplica?
El Reglamento se aplica desde el 17 de enero de 2025.
Definición de términos
A fin de entender correctamente la regulación, debemos tener siempre presente qué se entiende por ciertos términos:
- Entidades financieras: Entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas, entidades de dinero electrónico, empresas de servicios de inversión, proveedores de servicios de criptoactivos, depositarios centrales de valores, entidades de contrapartida central, centros de negociación, registros de operaciones, gestores de fondos de inversión alternativos, sociedades de gestión, proveedores de servicios de suministro de datos, empresas de seguros y reaseguros, intermediarios de seguros/reaseguros, fondos de pensiones de empleo, agencias de calificación crediticia, administradores de índices de referencia cruciales, proveedores de servicios de financiación participativa, y registros de titulizaciones
- Proveedor tercero de servicios de TIC: Una empresa que presta servicios de TIC
- Servicios de TIC: Los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y excluidos los servicios telefónicos analógicos tradicionales
Recursos útiles
- Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero
- Implementing and delegated acts – DORA
- Resumen de NIS 2 / SRI 2 para pequeños negocios
Deja una respuesta